Solange Ghernaouti, directrice du groupe de recherche Swiss Cybersecurity Advisory & et professeur de cybersécurité à l'université de Lausanne.
L'image d'une cybersécurité reposant sur des adolescents solitaires portant un sweat à capuche et piratant dans l'obscurité doit changer. En réalité, pour améliorer la cybersécurité, les ingénieurs, les juristes, les économistes, les criminologues et les décideurs politiques doivent collaborer pour lutter contre les cybermenaces à l'aide de stratégies globales.
Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group, présidente et fondatrice de la SGH Foundation - Social Good for Humanity et professeur de cybersécurité à l'université de Lausanne, a réussi à bâtir sa carrière sur une telle approche interdisciplinaire.
"Au cours de mon doctorat et des premières années de ma carrière professionnelle, j'ai acquis de l'expérience dans la plupart des domaines de l'informatique, tels que les bases de données, les systèmes d'exploitation, la programmation, l'électronique et les réseaux de télécommunication. J'ai découvert un intérêt particulier pour les réseaux et la sécurité technique des réseaux et j'ai rapidement réalisé que la sécurité technique ne serait jamais suffisante ; des vulnérabilités subsisteront toujours. Cela m'a amené à étudier la gestion des réseaux, un domaine que je trouvais particulièrement fascinant et qui l'est toujours. Cette prise de conscience m'a amené à me concentrer sur la gestion des cyber-risques et j'ai rejoint l'école de commerce de l'Université de Lausanne en tant que professeur.
Désireux de mieux comprendre les motivations des cybercriminels, j'ai commencé à explorer le domaine de la criminologie. Puis, comprenant que la politique et l'économie font tourner le monde, j'ai commencé à m'intéresser à ces aspects également.
Tout au long de mes études et de ma carrière, la confiance que j'ai reçue a beaucoup compté pour moi. Par exemple, avant de commencer mon doctorat, mon conseiller m'a dit que si je voulais obtenir mon diplôme avec lui, il attendait de moi que je lui apprenne quelque chose. Le fait que cet expert ait cru pouvoir me tromper a renforcé ma volonté de faire de bonnes recherches et de ne pas le décevoir. J'ai vécu une expérience similaire lorsque j'ai écrit mon premier livre. Je n'avais jamais rien fait de tel auparavant et je ne savais pas par où commencer. La confiance et le soutien du rédacteur en chef m'ont beaucoup aidé à franchir cette étape dans ma carrière".
À mesure que notre société se numérise et se connecte, les exigences et les défis en matière de sécurité augmentent naturellement. Solange, qui a participé au développement de la technologie, des normes et des politiques en matière de cybersécurité dès les premières années, estime qu'il reste encore beaucoup à faire pour améliorer l'état actuel de la cybersécurité et créer un monde plus sûr pour les générations futures. Solange explique : "Si nous voulons servir le bien commun, penser à l'avenir de nos jeunes et à l'héritage que nous leur laisserons, nous devrions nous préoccuper beaucoup plus de la cybersécurité, notamment de la protection des données, de la surveillance de masse et des moyens que nous utiliserons pour résoudre ces problèmes.
Lorsqu'on lui demande pourquoi nous avons du mal à assurer notre sécurité dans le domaine numérique, Solange répond : "La plus grande erreur que nous commettons est de penser que la technologie seule peut résoudre un problème humain lié à l'enchevêtrement socio-économique et politique. La technologie peut contribuer à résoudre certains problèmes, mais elle peut aussi en créer d'autres". Selon elle, trois obstacles majeurs s'opposent à une cybersécurité solide et efficace :
- Le manque de sensibilisation à la cybersécurité au sein de la population ;
- Les mesures de cybersécurité insulaires qui ne parviennent pas à traiter de manière exhaustive les cyber-risques complexes ; et
- Une collaboration insuffisante à l'échelle nationale et internationale en raison de la crainte d'une atteinte à la réputation en cas d'incident de sécurité.
Examinons de plus près chacun de ces obstacles.
"Combien de campagnes ou de messages d'intérêt public concernant les risques de cybersécurité avez-vous vus en Suisse récemment ? Aucune ? Exactement."
Solange constate actuellement une pénurie de ressources et de fonds consacrés à la cybersécurité au niveau fédéral ou cantonal en Suisse. Solange estime que nos autorités et le secteur privé doivent investir dans l'éducation de tous les citoyens aux risques de la cybersécurité.
Solange constate un déséquilibre de pouvoir entre ceux qui contrôlent et ceux qui utilisent la technologie et s'oppose fermement aux affirmations selon lesquelles nos enfants seront tous naturellement à l'aise avec le numérique et sensibilisés à la sécurité. Elle estime que nous devons adapter nos systèmes éducatifs au monde de plus en plus numérisé qui nous entoure si nous voulons développer des compétences numériques adéquates : "Il ne suffit pas que les enfants utilisent des tablettes à l'école ! Il faut apprendre aux élèves à programmer, non seulement pour créer de nouvelles applications, mais aussi pour décoder ce qui se passe dans les appareils que nous utilisons tous les jours". Elle estime que la sensibilisation est la première étape pour comprendre les conséquences à long terme de la transformation numérique de notre monde.
Solange a peut-être mis le doigt sur quelque chose, et pas seulement pour les jeunes. Combien d'entre nous peuvent dire qu'ils comprennent le fonctionnement de leurs outils quotidiens, qu'il s'agisse de SAP, de Facebook ou même des services de messagerie électronique ? Aujourd'hui, la plupart d'entre nous les utilisent comme des boîtes noires, sans savoir comment ils fonctionnent et utilisent nos données.
"Il existe un certain excès de confiance de la part des techniciens à l'égard des personnes qui n'ont pas de formation technique, à l'instar des avocats et des non-avocats, des médecins et des patients.
Cela peut rendre difficile la collaboration entre les experts en ingénierie, en droit, en politique, en sciences sociales, en industrie et en recherche.
Au lieu de considérer la cybersécurité comme un problème que seuls les ingénieurs peuvent résoudre, Solange soutient que nous devons reconnaître et valoriser une plus grande variété d'expériences professionnelles ainsi que l'éducation. Par exemple, les professionnels devraient avoir la possibilité de compléter leur expérience professionnelle existante par des cours visant à acquérir des compétences techniques, managériales ou juridiques spécialisées.
Solange cite la compréhension des besoins en matière de surveillance et de renseignement ainsi que la lutte contre la cybercriminalité comme des défis pour lesquels une variété de compétences différentes est essentielle. Solange est très claire à ce sujet : "Il n'est pas raisonnable de penser qu'un seul profil peut couvrir toutes les facettes de ces questions complexes et la diversité des compétences et des expériences apporte une valeur ajoutée significative à la cybersécurité." C'est pourquoi elle estime qu'une approche intégrée de la cybersécurité est vitale pour notre société et que les efforts doivent dépasser les frontières traditionnelles, qu'elles soient géographiques, politiques, militaires-civiles, gauche-droite, noir-blanc-violet. Selon Solange, il est urgent de dépasser les divergences politiques conventionnelles si nous voulons maîtriser les cyber-risques.
Aucune entreprise ne souhaite faire la une des journaux parce qu'elle a été victime d'une cyberattaque ou parce qu'elle a produit ou utilisé des technologies ou des services vulnérables. Cependant, la réalité est que des brèches importantes se produisent régulièrement et qu'il y a de nombreuses leçons à tirer de la divulgation des vulnérabilités :
"Nous ne devons pas laisser la crainte d'une atteinte à notre réputation nous empêcher de partager les leçons apprises et entraver nos progrès vers une véritable cybersécurité, mais nous devons au contraire comprendre les avantages du partage des connaissances, de l'expertise et de l'expérience".
Pour surmonter cet obstacle, il faut davantage d'encouragement de la part des dirigeants, qu'il s'agisse des régulateurs ou du gouvernement. En outre, des processus et des outils tels que les rapports anonymes et le partage de données préservant la vie privée doivent être développés pour permettre aux entreprises et aux personnes de partager des informations précieuses tout en protégeant la vie privée des personnes concernées, et les encourager à le faire.
En réfléchissant au parcours professionnel de Solange et à son point de vue, il est clair qu'une plus grande collaboration entre tous les domaines d'expertise concernés est dans l'intérêt de tous. Nous sommes tous concernés par la cybersécurité ; c'est une question que nous ne pouvons pas ignorer en tant que société et en tant qu'individus. Nous devons tous œuvrer à la sécurité dans le cyberespace et dans le monde physique. Bien que le chemin vers une véritable cybersécurité puisse être long et parfois fastidieux, Solange garde une attitude pragmatique et positive : "Autant en profiter !"